{"id":1085,"date":"2024-10-11T11:11:18","date_gmt":"2024-10-11T09:11:18","guid":{"rendered":"https:\/\/ayrilys.com\/?p=1085"},"modified":"2024-10-11T11:13:13","modified_gmt":"2024-10-11T09:13:13","slug":"le-malware-perfctl-devient-la-menace-silencieuse-qui-infecte-des-milliers-de-serveurs-linux","status":"publish","type":"post","link":"https:\/\/ayrilys.com\/index.php\/le-malware-perfctl-devient-la-menace-silencieuse-qui-infecte-des-milliers-de-serveurs-linux\/","title":{"rendered":"Le malware Perfctl devient la menace silencieuse qui infecte des milliers de serveurs Linux"},"content":{"rendered":"\n

Par Mura<\/strong> en S\u00e9curit\u00e9 informatique<\/a><\/p>\n\n\n\n

<\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/a><\/p>\n\n\n\n

\"\"<\/figure>\n\n\n\n

R\u00e9sum\u00e9 de l’article :<\/strong><\/p>\n\n\n\n

Aqua Security a r\u00e9cemment d\u00e9couvert un malware furtif appel\u00e9 Perfctl, qui cible activement les serveurs Linux depuis plus de trois ans. Voici un r\u00e9sum\u00e9 de l\u2019article :<\/p>\n\n\n\n

Comment fonctionne Perfctl<\/h3>\n\n\n\n

Perfctl exploite plus de 20 000 vuln\u00e9rabilit\u00e9s et erreurs de configuration connues dans les serveurs Linux pour \u00e9tablir un acc\u00e8s permanent. Il utilise un rootkit pour se cacher et ne s\u2019active que lorsque le serveur est inactif. La communication avec son infrastructure de commande et de contr\u00f4le (C&C) est g\u00e9r\u00e9e via un socket Unix et le r\u00e9seau Tor.<\/p>\n\n\n\n

L\u2019\u00e9vasion et la pers\u00e9v\u00e9rance<\/h3>\n\n\n\n

Perfctl modifie les scripts syst\u00e8me pour s\u2019assurer qu\u2019il s\u2019ex\u00e9cute avant les charges de travail l\u00e9gitimes. Il se connecte \u00e0 diverses fonctions d\u2019authentification pour contourner les v\u00e9rifications de mot de passe et suspend ses op\u00e9rations s\u2019il d\u00e9tecte une activit\u00e9 utilisateur. Les binaires de Perfctl sont compress\u00e9s, d\u00e9pouill\u00e9s et chiffr\u00e9s pour \u00e9chapper \u00e0 la d\u00e9tection.<\/p>\n\n\n\n

La vuln\u00e9rabilit\u00e9 exploit\u00e9e : CVE-2021-4043<\/h3>\n\n\n\n

Perfctl utilise la vuln\u00e9rabilit\u00e9 CVE-2021-4043 pour augmenter ses privil\u00e8ges et obtenir un acc\u00e8s root. Il se propage ensuite sur le syst\u00e8me infect\u00e9, se copie \u00e0 plusieurs endroits et d\u00e9pose des utilitaires Linux modifi\u00e9s agissant comme des rootkits.<\/p>\n\n\n\n

L\u2019ampleur de l\u2019attaque<\/h3>\n\n\n\n

Aqua Security a identifi\u00e9 trois serveurs de t\u00e9l\u00e9chargement utilis\u00e9s dans les attaques et une s\u00e9rie de sites Web compromis. Les attaquants utilisent des listes de fuzzing de travers\u00e9e de r\u00e9pertoire pour rechercher les fichiers de configuration et les secrets expos\u00e9s.<\/p>\n\n\n\n

Que peut-on faire ?<\/h3>\n\n\n\n

Pour se prot\u00e9ger contre Perfctl, il est crucial de maintenir des configurations s\u00e9curis\u00e9es sur les serveurs Linux et de corriger les vuln\u00e9rabilit\u00e9s connues d\u00e8s que possible. Les administrateurs syst\u00e8me doivent auditer r\u00e9guli\u00e8rement leurs syst\u00e8mes et surveiller le trafic r\u00e9seau suspect.<\/p>\n\n\n\n

D\u00e9tail de l’article :<\/strong><\/p>\n\n\n\n

Aqua Security a r\u00e9cemment d\u00e9couvert un malware furtif appel\u00e9 Perfctl<\/a><\/em> qui cible activement les serveurs Linux depuis plus de trois ans, en passant entre les mailles du filet des mauvaises configurations et des vuln\u00e9rabilit\u00e9s des serveurs. Ce malware sophistiqu\u00e9 a compromis des milliers de syst\u00e8mes, en se concentrant sur des tactiques d’\u00e9vasion et le d\u00e9tournement de ressources pour miner des cryptomonnaies. Voici ce que vous devez savoir sur cette famille de malwares qui passe inaper\u00e7ue.<\/p>\n\n\n\n

Table des mati\u00e8res<\/p>\n\n\n\n